Nachdem der Kerberos-Authentifizierungsdienst auf dem Workspace ONE Access Connector installiert wurde, erhalten Sie eine Fehlermeldung, die besagt, dass die Kerberos-Initialisierung fehlgeschlagen ist.
Problem
Wenn Sie bei der Installation des Kerberos-Authentifizierungsdiensts im Workspace ONE Access Connector die Option Möchten Sie die Workspace ONE Access-Dienste als Domänenbenutzerkonto ausführen? nicht ausgewählt haben oder wenn Sie die Option zwar ausgewählt haben, aber ein Domänenkonto angegeben haben, das nicht über das Recht zum „Erstellen, Löschen und Verwalten von Benutzerkonten“ in Active Directory verfügt, kann Kerberos nach der Installation nicht initialisiert werden. Wenn Sie versuchen, den Kerberos-Authentifizierungsadapter zu konfigurieren, erhalten Sie eine Fehlermeldung, die besagt, dass die Kerberos-Initialisierung fehlgeschlagen ist.
Lösung
Führen Sie das Skript setupkerberos.bat mit einem Benutzerkonto mit höheren Berechtigungen aus. Verwenden Sie ein Konto mit den folgenden Eigenschaften:
- Es ist ein Domänenbenutzer.
- Es verfügt über die Berechtigung zum „Erstellen, Löschen und Verwalten von Benutzerkonten“ in Active Directory (Mitglieder von Admin-Benutzer- und Kontobetreibergruppen haben diese Rechte).
- Ist Teil der Administratorgruppe auf dem Windows-Server, auf dem der Workspace ONE Access Connector installiert ist
Dieses Benutzerkonto mit höheren Berechtigungen ist nur vorübergehend erforderlich, um das Skript auszuführen, und wird nicht für Connector-Dienste gespeichert oder erneut verwendet. Nachdem Sie das Skript ausgeführt haben, können Sie die Kerberos-Authentifizierungsmethode mit dem ursprünglichen Benutzerkonto, das Sie verwendet haben, weiter konfigurieren.
So führen Sie das Skript aus:
- Melden Sie sich bei dem Windows-Computer mit dem Konnektor an und navigieren Sie zum Verzeichnis InstallDir\Workspace_ONE_Access\Support\scripts.
- Klicken Sie mit der rechten Maustaste auf setupkerberos.bat und wählen Sie Als Administrator ausführen aus.
- Geben Sie das Benutzerkonto mit den oben beschriebenen höheren Berechtigungen ein.
Nachdem das Skript erfolgreich ausgeführt wurde, wird eine Bestätigungsmeldung angezeigt.
- Melden Sie sich bei der Workspace ONE Access-Konsole mit dem ursprünglichen Benutzerkonto an, das Sie verwendet haben, und konfigurieren Sie die Kerberos-Authentifizierungsmethode.
Grundlegendes zum setupkerberos.bat-Skript
Das setupkerberos.bat-Skript führt die folgenden Aufgaben aus:
- Es erstellt ein Dienstkonto mit demselben Namen wie das Maschinenkonto (ohne das $-Zeichen).
- Es legt ein zufälliges Kennwort für das Konto fest.
- Es generiert eine Keytab-Datei für das Konto und speichert diese in /usr/horizon/conf.
- Es ordnet den angegebenen Prinzipal dem Computer innerhalb des Kontos als SPN zu.